Hey Google! Turn on the lights! – hangozhat el a mondat a hazaérkezéskor, miután ujjlenyomatunkkal kinyitottuk a bejárati ajtót. Az okosotthonok egyre nagyobb teret nyernek mindennapjainkban, kényelmet és innovációt hozva az otthonainkba, ám ezzel együtt növekvő adatvédelmi kockázatokat is rejtenek. Az életünk szinte észrevétlenül kapcsolódik össze a technológiával, hangvezérelt asszisztensek, okos zárak és kamerák segítenek nekünk, de eközben folyamatosan gyűjtik a személyes adatainkat is. Mennyire van biztonságban a magánéletünk, és mit tehetünk az adataink védelme érdekében az egyre intelligensebb eszközök világában?
Mit nevezünk okosotthonnak?
Uniós dokumentumok értelmezése szerint az okosotthon (angolul: smart home) egy olyan épületet takar, amelyben egy automatizálási rendszer összekapcsolja például a világítást, a fűtést, a riasztórendszert, és az audio- és videórendszereket, amelyek wi-fi-hez vagy egy központi egységhez csatlakoznak. Az okosotthont tehát a benne található okoseszközök teszik okossá. Világszerte 175 millió okosotthon található, míg a Nemzeti Média és Hírközlési Hatóság 2022-es felmérése szerint Magyarországon a fogyasztók 4%-a rendelkezik okosotthon eszközökkel.
Egy okosotthonba beszerelhető eszközök köre meglehetősen szerteágazó. Sokak számára ismert lehet az okos világítás vagy a hangalapú vezérlők, azonban találkozhatunk okos termosztáttal, okoszárral, ahogy akár a konnektoraink is rendelkezhetnek speciális okosotthon funkciókkal, és természetesen vannak okos háztartási nagy- és kisgépek is.
Ezek az eszközök az „egyszerű” elektronikától abban különböznek, hogy nagy mennyiségű adatot gyűjtenek be és felhasználják őket a működésük során.
Az adatgyűjtés mikéntje eszközönként különbözik, egyesek a környezeti érzékelőkből, mások, így például a népszerű Amazon Alexa, emberi hangból, biometrikus adatokból vagy kamerán keresztül jutnak hozzá a szükséges információkhoz.
Az adatgyűjtés és az okosotthonok
Az adatgyűjtés jogi szabályozása különösen nagy hangsúlyt kapott az elmúlt időben, ugyanis az adatok értéke számos területen (pl. a marketing világában) megnövekedett, így a felhasználók többsége is egyre érdeklődőbb lett személyes adatai sorsával kapcsolatban.
Az adatkezelés szabályozása érdekében az Európai Unióban megalkotásra került a 2016/679 Rendelet, vagyis a GDPR, amely az okosotthonok által kezelt adatok tekintetében is irányadónak tekinthető. A GDPR szabályozza, hogy milyen jogalapon és milyen körülmények között kerülhet sor adatkezelésre, és ezzel kapcsolatban meghatározza az adatkezelő kötelezettségeit és az adatkezeléssel érintettek jogait is. A GDPR elvei szerint az adatkezelés céljának konkrétan meghatározottnak, relevánsnak kell lennie és a szükségesre kell korlátozódnia. Az adatok tárolására vonatkozóan kiemelendő, hogy az csak addig jogszerű amíg az személyes adatok kezelésével elérni kívánt cél elérésre nem kerül, ezen felül a harmadik félnek való továbbítás is szigorú korlátok közé van szorítva.
Az okosotthonokban használt eszközök működéséhez nélkülözhetetlen, hogy adatot gyűjtsenek, tekintve, hogy ezek alapján tudnak megfelelően funkcionálni.
A begyűjtött információk között számos személyes adatunk szerepelhet, így például nevünk, lakcímünk, érdeklődési körünk vagy vagyoni helyzetünk,
valamint akár a GDPR 9. cikkében szabályozott különleges kategóriába tartozó személyes adataink is, mint például a nemi irányultságra vonatkozó információkat vagy az egészségügyi adatainkat, amennyiben felhasználóként egy óvatlan kijelentéssel rendelkezésre bocsátjuk azokat. De mi történik ezekkel a begyűjtött adatokkal?
Az adatok útja
Miután az eszköz befogadta a különböző forrásból érkező információkat, egy felhőszolgáltatóba küldi, ugyanis az adatok hatalmas mennyisége miatt az eszköz önmaga képtelen lenne feldolgozni azokat. A tárhelyszolgáltató itt egy egyedi azonosítót ad a felhasználótól érkező parancsnak. Ezután az információ feldolgozásra kerül, majd valamilyen formában visszajut a felhasználóhoz, legyen az egy mondat kimondása a személyi asszisztens által vagy az ajtózár kinyitása. A felhőből azonban ilyenkor se tűnik el az adat, azt a szolgáltató az adatkezelési tájékoztatójába meghatározott ideig őrizheti. Például az Apple termékekhez köthető Siri, virtuális személyi asszisztens esetében az adattárolási idő a 18 hónapot is elérheti, az általunk megadott információ csak ezután kerül végleges törlésre.
Bár ez a folyamat egy átlag fogyasztónak veszélytelennek tűnhet, ha jobban belegondolunk, ez idő alatt számos olyan incidens történhet, amelynek következményeként adataink, szokásaink vagy egyszerűen az otthonunkban való jelenlét ténye kikerülhet a szolgáltató felügyelete alól. Az ilyen veszélyhelyzetek és incidensek megelőzésére és kezelésére vonatkozó GDPR szabályok szintén irányadóak az okosotthonok eszközei által gyűjtött adatok kezelése esetében. Fontos kiemelni, hogy minden olyan gyártó, adatkezelő köteles betartani a GDPR által támasztott adatvédelmi szabályokat, aki az Európai Unió területén végzi a tevékenységét vagy az áru amit forgalmaz Uniós piacon kerül értékesítésre, függetlenül attól hogy a tényleges adatkezelés hol történik.
Ennek következében több harmadik országbeli gyártó, például az okos villanykörtéket gyártó Yeelight nevű kínai cég, is kénytelen volt a termékeinek funkcióit leegyszerűsíteni, így a hangvezérlési lehetőséget kivenni, mivel a GDPR követelményeinek nem tudtak megfelelni.
A valóságban azt kell látnunk, hogy az okoseszközök felhasználói az adatkezelési tájékoztatók ismeretének hiányában nem tudnak arról, hogy melyek azok a személyes adatok, amelyek gyűjtéséhez hozzájárulnak, ami jelentős mértékű információs aszimmetriát eredményez a két fél között. A szolgáltatók kezében van, hogy a megfelelő adatvédelmi garanciákkal védjék a személyes adatokat. Így például egy Google Home eszköz használata során lehet semmi problémánk nincs azzal, ha az általunk adott parancsok alapján a szolgáltató megismeri a kedvenc könyveinket, de a szexuális orientációnkat már nem osztanánk meg annak ellenére, hogy egy személyi asszisztens használata során ilyen adatok rendelkezésre bocsátása is előfordulhat. Azonban annak megválasztására hogy mely adatok juthatnak el az adatkezelőhöz a jelenlegi technikai módszerek mellett nincs lehetőség. 2020-ban például a Google Nest okostermosztátok, amelyek a megfelelő és költséghatékony fűtésért felelnek, okoztak adatvédelmi incidenst. Ezen eszközök esetén a felhasználó arra számítana, hogy csak a hőmérséklet állításával kapcsolatos információkat, szokásainkat gyűjti be, ugyanakkor ebben az esetben az eszköz kameraképei és hangfelvételei is megismerhetővé váltak a hackerek számára, valamint az eszközökön keresztül kapcsolatba is tudtak lépni a felhasználókkal. Képzeljük el, milyen érzés lehet amikor egy idegen hang szól ki a falra felszerelt tenyérnyi méretű panelből. Az eset következtében a Google köteles volt a minden eszközükre magasabb fokú biztonsági módszereket bevezetni, így a két-faktoros hitelesítést.
Milyen veszélyeknek vagyunk kitéve és mit tehetünk ezek elkerülése ellen?
Tekintettel arra, hogy az okosotthonokban használt eszközök gyakran hang és videófelvételek alapján működnek, súlyos következményekkel járhat ezen adatok kiszivárgása, jogosulatlan kézbe kerülése. 2020-ban a Xiaomi okoskamerák esetében fordult elő egy súlyos adatvédelmi kockázatokkal járó incidens, ugyanis a tulajdonosok számára a kamera képét közvetítő applikációban láthatóvá váltak idegen háztartásban lévő kamerák képei is, egy lényeges biztonsági hiba következtében. Könnyelműen feltehetnénk a kérdést, hogy mi történhet akkor, ha valaki hozzáfér a mosogatógépünk vagy mikrónk adataihoz. Természetesen egyes eszközök kisebb veszéllyel járnak, azonban a képet és hangfelvételt rögzítő vagy a biztonságot szolgáló eszközök adataihoz való jogosulatlan hozzájutás vagyon elleni bűncselekményeket, személyazonosság-lopást, hang és képfelvétel hamisítást eredményezhet. Egy robotporszívó adatvédelmi szempontból ártalmatlannak tűnhet, azonban jó ellenpélda erre a Jibo nevű cég, amelynek takarításra szánt eszközei a megfelelő működés érdekében kép és hangfelvételeket rögzítettek, amelyek hackerek számára egy biztonsági rész következtében megismerhetővé váltak. A gyakorlatban ritkák azonban azok az esetek amikor ezen eszközökön keresztül figyelnek meg embereket, ugyanis az eszközökhöz való jogosulatlan hozzáférés célja elsősorban a jelszavak és egyéb személyes azonosítók megszerzése további felhasználásra.
Ugyanakkor találunk példát olyan esetekre is, amikor az adatkezelőtől kiszivárgott adatok által okos zárak kerültek kinyitásra vagy a hálózathoz csatlakoztatott bébiőrön keresztül az alvó csecsemőt figyelték meg és beszéltek is hozzá.
Ezen veszélyek megelőzése érdekében sokszor egyszerűnek tűnő megoldások nyújthatnak segítséget. Erős jelszavak használatával jelentősen csökkenteni lehet a jogosulatlan adatszerzéseket. Emellett fontos, hogy folyamatosan frissítsük az eszközök rendszerét, így a gyártó által biztosított legkorszerűbb védelmet élvezhetjük.
A piacon elérhetők olyan okoseszközök is, amelyek drágábbak ugyan, azonban a legfontosabb adatokat egy helyi szerveren tárolják, így az online térben nincs lehetőség ezen adatok megszerzésére. Továbbá nulladik lépésként, mindig érdemes az adatkezelési tájékoztatót áttekinteni mielőtt működésbe helyezzük a készüléket.
Az okosotthonok és egyéb okoseszközök jövője a mi kezünkben van, megfelelő szabályzás mellett az életünk hasznos részévé válhatnak, nem veszélyeztetve a biztonságunkat. Amellett, hogy ezen eszközök által törekszünk a mindennapi életünk megkönnyítésére, nem szabad elengednünk azokat a tényezőket, amelyek egy lakóhelyet otthonná tesznek, így a magánéletünk szabadságát és a biztonságot.
Ez a cikk az Arsboni 2024. őszi gyakornoki programjának keretében készült.
Irodalomjegyzék
- Az Európai Parlament és a Tanács (EU) 2016/679 Rendelete (GDPR)
- Mandic Dorottya: A mesterséges intelligencia alkalmazása az okosotthonokban. Biztonságtudományi Szemle 2022. IV. évf. 1. szám
- Mandic Dorottya, Simon János: Biztonságosak-e az okosotthonokban használt okoseszközök? Biztonságtudományi Szemle 2022. IV. évf. 4. szám
- Erdélyi Dóra, Leiter Miklós Patrik: Kérdezz bármit, tudom a választ! – avagy a ChatGPT adatvédelmi kérdései, különös tekintettel a személyes adatok védelmére és a kockázati besorolásra. Rendvédelem XIII. évf. 2024/1. szám
- Karácsony Gergely: Okoseszközök – Okos jog? Dialóg Campus. Budapest. 2020
- Stanislaw Piasecki: Expert perspectives on GDPR compliance in the context of smart homes and vulnerable persons. 2023.
- JiahongChen, LilianEdwards, LachlanUrquhart, DerekMcAuley: Who is responsible for data processing in smarthomes? Reconsidering joint controllership and the household exemption. International Data Privacy Law, 2020, 10 évf. 4. szám
- Balogh Zsolt György: Közterületi térfigyelés és adatvédelem. Vezetéstudomány. XLII. évfolyam. 2011/3. szám
- Michael L. Rustad: How the EU’s General Data Protection Regulation Will Protect Consumers Using Smart Devices. SUFFOLK UNIVERSITY LAW REVIEW. 2019. Vol. LII
- Emma Härdling: Data protection in the Smart Home. Master Thesis. Uppsala Universitet. 2022.
- Nemzeti Média és Hírközlési Hatóság: Az elektronikus hírközlési piac fogyasztóinak vizsgálata. 2022
- Okoseszközök a gyerekszobában: https://www.businessbox.hu/blog/2021/02/23/okoseszkozok-a-gyerekszobaban/
- Siri Privacy Risks: Unveiling the Dangers: https://www.propelex.com/siri-privacy-risks-unveiling-the-dangers/
- Apple’s Siri: Whistleblower Points to Data Protection Failures: https://seersco.com/blogs/apples-siri-whistleblower-points-to-data-protection-failures/
- The Dark Side of Smart Homes: Cybersecurity Concerns: https://www.canarytrap.com/blog/smart-homes-security/
- The Facts Behind Smart Home Hacking: https://www.cnet.com/home/security/is-smart-home-security-easily-hacked-in-heres-everything-you-should-know/
***
Ha nem szeretnél lemaradni a további írásainkról, kövesd az Arsbonit a Facebookon. Videós tartalmainkért pedig látogass el a Youtube csatornánkra.
